Trend Micro ເປີດ​ເຜຍ​ການ​ຄົ້ນ​ພົບ​ແຄມ​ເປນ (Campaign) ການ​ໂຈມ​ຕີ​ໃໝ່​ຂອງ​ມັນ​ແວ ​(Malware)  RomCom ທີ່​ໄດ້​​ປອມ​ແປງ​ເປັນ​ເວັບ​ໄຊ​ຂອງ​ຊ໋ອບແວ​ຍອດນິຍົມ​ ເພື່ອ​ຫຼອກ​ໃຫ້​ເຫຍື່ອ​ດາວ​​ໂຫຼດ​ ແລະ​ ຕິດ​ຕັ້ງ​ໂປຣ​ແກຣມ​ທີ່​ເປັນ​ອັນຕະລາຍ​.

ແຄມ​ເປນຫຼ້າ​ສຸດ​ຂອງ​ RomCom ຖືກຄົ້ນ​ພົບ​ຕັ້ງ​ແຕ່​ປີ​ 2022 ໂດຍ​ນັກ​ວິ​ໄຈພົບ​ວ່າ​ Hacker ໄດ້​ເພີ່ມ​ການ​ຫຼີກ​ລ້ຽງ​ການ​ກວດ​ຈັບ​ໂດຍ​ໃຊ້​ການ​ເຂົ້າ​ລະ​ຫັດ​ເພ​​ໂຫຼດ​ (Payload) ລວມ​ເຖິງ​ມີ​ການ​ເພີ່ມ​ປະ​ສິດ​ທິ​ພາບ​ຂອງ​ເຄື່ອງ​ມື​ ດ້ວຍ​ການ​ເພີ່ມ​ຄຳ​ສັ່ງ​ໃໝ່​ໆ​, ຊຶ່ງ​ເວັບ​ໄຊ​​ທີ່​ RomCom ​ປອມ​ແປງ​ແມ່ນຈະ​ກ່ຽວ​ຂອງ​ກັບ​ໂປຣ​ແກຣມ​ Remote Desktop Management Application ເພື່ອ​ເພີ່ມ​ໂອ​ກາດ​ທີ່​ Hacker ຈະ​ໃຊ້​ການ​ໂຈມ​ຕີ​ແບບ​ Phishing ຫຼື​ Social Engineering ໃນ​ການ​ເຂົ້າ​ເຖິງ​ເປົ້າ​ໝາຍ​.

ແຄມ​ເປນ​ການ​ໂຈມ​ຕີ​ໃໝ່​ຂອງ​ RomCom

Trend Micro ເຜີຍແຜ່​ລາຍ​ງານ​ແຄມ​ເປນ​ການ​ໂຈມ​ຕີ​ໃໝ່​ຂອງ​ RomCom ທີ່​ໄດ້​ພົບ​ການ​ໂຈມ​ຕີ​ມາ​ຕັ້ງ​ແຕ່​ ເດືອນ​ ທັນວາ​ ປີ 2022 ຫາ​ ເມ​ສາ​ ປີ 2023 ຊຶ່ງ​ໄດ້​ປອມ​ແປງ​ເປັນ​ເວັບ​ໄຊ​​ຂອງ​ຊ໋ອບ​ແວ​ຍອດນິຍົມ​ ເຊັ່ນ:​ Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja, Devolutions' Remote Desktop Manager ແລະ​ ອື່ນ​ໆ​.

ຊຶ່ງ​ໄດ້​ພົບ​ເວັບ​ໄຊ​​ ທີ່​ເປັນ​ອັນຕະລາຍ​ບາງ​ສ່ວນ​ທີ່​ຖືກ​ໃຊ້​ໃນ​ໄລຍະເວລາ​ດັ່ງ​ກ່າວຄື​:

• com (ອອບລາຍ) – ຮຽນ​ແບບ​ໂປຣ​ແກຣມ​ແກ້​ໄຂ​ຮູບ​ພາບ​ຟ​ຣີ​ ແລະ​ Open Source
• us (ອອບລາຍ​) – ຮຽນ​ແບບ​ແອັບ​ການ​ປະ​ຊຸມ​ທາງ​ວິ​ດີ​ໂອເທິງຄ​ລາວ​ (Cloud Computing) ແລະ​ ແອັບ​ການ​ປະ​ຊຸມ​
• org (ອອບລາຍ​) – ຮຽນ​ແບບ​ເຄື່ອງ​ມື​ເຮັດ​ຄວາມ​ສະ​ອາດ​ຂໍ້​ມູນ​ເທິງ​ພີ​ຊີ (PC) ​
• chatgpt4com (ອອນລາຍ​) – ຮຽນ​ແບບ​ແພັດ​ຟອມ​ແຊັດ​ບອດ (Chatbot Platform) ​ທີ່​ຂັບ​ເຄື່ອນ​ດ້ວຍ​ AI
• com (ອອບລາຍ​) – ຮຽນ​ແບບຊ໋ອບແວ​ແຊັດ​
• com (ອອນ​ໄລ​ນ໌​) – ຮຽນ​ແບບ​ເຄື່ອງ​ມື​ການ​ຈັດການ​ Desktop ​ຈາກ​ໄລຍະໄກ​
• cosy-sofware.com (ອອບລາຍ​) – ຮຽນ​ແບບ​ເຄື່ອງ​ມື​ການ​ຈັດການ Desktop ​ຈາກ​ໄລຍະໄກ​
• com (ອອນລາຍ​) – ຮຽນ​ແບບ​ເຄື່ອງ​ມື​ການ​ຈັດການ Desktop ​ຈາກ​ໄລຍະໄກ
• com (ອອນລາຍ​) – ຮຽນ​ແບບ​ເຄື່ອງ​ມື​ການ​ຈັດການ Desktop ​ຈາກ​ໄລຍະໄກ​
• com (ອອນລາຍ​) – ປອມ​ຕົວ​ເປັນ​ແອັບ​ກວດ​ສອບ​ການ​ໃຊ້​ດິສ (Disk)​ ແລະ​ ເຄື່ອງ​ມື​ສຳລັບ​ລ້າງ​ຂໍ້​ມູນ​

 

ເວັບ​ໄຊ​ທີ່​ເປັນ​ອັນຕະລາຍ​ເຫຼົ່າ​ນີ້​ຖືກ​ເຜີຍແຜ່​ຜ່ານ​ໂຄສະ​ນາຂອງ​ Google Ads ແລະ ​ອີ​ເມວຫຼອກລວງ (Phishing Email)​ ຊຶ່ງ​ເຫຍື່ອ​ສ່ວນ​ຫຼາຍຢູ່ໃນ​ຢູ​ໂຣບ​ຕະເວັນ​ອອກ (Eastern Europe).​

ຕົວ​ຢ່າງ​ການ​ໂຈມ​ຕີ​ທີ່​ທາງ​ Trend Micro ໄດ້​​ວິ​ເຄາະ​ ເຊັ່ນ:​ ເວັບ​ໄຊ​ແຈກ​ຈ່າຍ​ໂປຣ​ແກຣມ​ຕິດ​ຕັ້ງ​ MSI ທີ່ປອມ​ຕົວ​ເປັນ​ແອັບ​ຂ້າງ​ເທິງ​ ແຕ່​ຖືກ​ຝັງ​ໂທ​ຈັນ (Trojan) ​ດ້ວຍ​ຟາຍ​ DLL ທີ່​ເປັນ​ອັນຕະລາຍ​ (“InstallA.dll”) ຊຶ່ງ​ຟາຍ​ນີ້​ຈະ​ແຕກ​ຟາຍ​ DLLs ອີກ​ສາມ​ລາຍ​ການ​ໄປທີ່ໂຟນ​ເດີ​ (Folder) %PUBLIC%\Libraries ຂອງ​ເຫຍື່ອ​ ເພື່ອ​ເອີ້ນ​ໃຊ້​ຄຳ​ສັ່ງ​ ແລະ ​ເຊື່ອມ​ຕໍ່ໄປ​ຫາ​ command and control (C2) server ຂອງ​ Hacker ລວມເຖິງ​ພົບ​ວ່າ​ Hacker ໄດ້​ພະຍາຍາມ​ໃຊ້​ຄຳ​ສັ່ງ​ທີ່​ເປັນ​ອັນຕະລາຍ​ເພີ່ມຕື່ມ​ ຊຶ່ງ​ຈຳນວນ​ຄຳ​ສັ່ງ​ເພີ່ມ​ຂຶ້ນ​ຈາກ​ 20 ເປັນ​ 42.

ຄຳ​ສັ່ງ​ບາງ​ສ່ວນ​ທີ່​ສາມາດ​ສົ່ງ​ໄປ​ທີ່​ອຸປະກອນ​ທີ່​ຖືກ​ຄວບ​ຄຸມ​ຈາກ​ RomCom ແລ້ວ​ ໄດ້​ແກ່​:

• ການ​ເລີ່ມ​ເຮັດວຽກ​ exe
• ການ​ວາງ​ຟາຍລົງ​ໃນ​ຄອມພິວເຕີ​ຂອງ​ເຫຍື່ອ​ ເພື່ອ​ດຳ​ເນີນ​ການ​ເພ​ໂຫຼດ​ເພີ່ມຕື່ມ
• ການ​ປອມ​ process ດ້ວຍ​ການ​ປອມ​ແປງ​ PID ເພື່ອ​ເຮັດໃຫ້​ເບິ່ງ​ຄືກັບ​ process ທີ່ປົກກະ​ຕິ​
• ການ​ສົ່ງ​ອອກ​ຂໍ້​ມູນ​ຈາກ​ລະບົບ​ທີ່​ຖືກ​ໂຈມ​ຕີ​
• ການຕັ້ງ​ຄ່າ Proxy ​ຜ່ານ​ SSH
• ການ​ອັບ​ເດດ​ມັນ​ແວ​ບເທິງ​ອຸປະກອນ​
• ການ​ເອີ້ນ​ໃຊ້​ AnyDesk ເທິງ​ໜ້າ​ຕ່າງ​ທີ່​ເຊື່ອງ​ຢູ່​
• ການ​ບີບ​ອັດ​ໂຟນ​ເດີ​ທີ່​ກຳນົດ​ ແລະ ​ສົ່ງ​ກັບ​ໄປ​ຫາ​ເ​ຊີ​ເວີ​​ຂອງ​ຜູ້​ໂຈມ​ຕີ​

 

ລວມ​ເຖິງ​ຍັງ​ພົບ​ວ່າ​ມີ​ການ​ຕິດ​ຕັ້ງ​ເພ​​ໂຫຼດ​ມັນ​ແວ​​ອື່ນ​ເພິ່ມຕື່​ຜ່ານ​ RomCom ຊຶ່ງ​ ມັນ​ແວ​ Stealer ແລະ downloader ທີ່​ຕິດ​ຕັ້ງ​ເພິ່ມຕື່ມມີ​ດັ່ງ​ນີ້​:

• dll – ເຄື່ອງ​ມື​ຈັບ​ພາບ​ໜ້າຈໍ​ທີ່​ບີບ​ອັດ​ຮູບ​ພາບ​ໃນ​ຟາຍ​ ZIP ສຳລັບ​ຕຽມ​ການ​ສົ່ງ​ຂໍ້​ມູນ​ອອກ​ໄປ​
• dll – ເຄື່ອງ​ມື​ລັກ​ຄຸກ​ກີ້ເທິງ​ເວັບ​ບ​ຣາ​ວ​ເຊີ​ (Browser)​ (Chrome, Firefox, Edge)
• exe – ເຄື່ອງ​ມື​ລັກ​ຂໍ້​ມູນ​ກະ​ເປົາ​ເງyນ​ cryptocurrency
• dll – ເຄື່ອງ​ມື​ລັກ​ຂໍ້​ມູນ​ໃນ​ຂໍ້ຄວາມ​ສົນທະນາ​
• dll – ເຄື່ອງ​ມື​ລັກ​ຂໍ້​ມູນ​ FTP credentials ທີ່​ອັບ​ໂຫຼດ​ຂໍ້​ມູນ​ໄປ​ທີ່​ເ​ຊີ​ເວີ​​ FTP

ນອກ​ຈາກ​ນີ້​ນັກ​ວິ​ໄຈຍັງ​ພົບ​ວ່າ​ RomCom ໄດ້​ມີ​ການ​ໃຊ້​ຊ໋ອບແວ​ VMProtect ສຳລັບ​ການ​ປ້ອງ​ກັນ​ການ​ກວດ​ສອບ​ ແລະ ​ວິ​ເຄາະ​ຜ່ານ​ VM ນອກ​ຈາກ​ນີ້ຍັງ​ໃຊ້​ການ​ເຂົ້າ​ລະຫັດ​ສຳລັບ​ເພ​​ໂຫຼດ​ ຊຶ່ງ​ເປັນ​ຄີ​ (Key) ​ທີ່​ບໍ່​ໄດ້​ hard coded ໄວ້​ ແຕ່​ໃຊ້​ການ​ດຶງ​ຂໍ້​ມູນ​ຈາກ​ພາຍນອກ​ ຊຶ່ງ​ມັນ​ແວ​ຈະ​ໃຊ້​ null bytes ໃນ​ການ​ເຊື່ອມ​ຕໍ່​ກັບ​ C2 server ເພື່ອ​ຫຼີກ​ລ້ຽງ​ການ​ກວດ​ຈັບ​ຈາກ​ອຸປະກອນ​ດ້ານ​ຄວາມ​ປອດໄ​ພ.

ຄວາມ​ກ່ຽວ​ຂ້ອງ​ກັບ​ Cuba ransomware

ມີ​ລາຍ​ງານ​ການ​ໃຊ້​ງານ​ RomCom ເທື່ອ​ທໍາອິດໃນ​ເດືອນ ​ສິງ​ຫາ​ 2022 ໂດຍ​ Palo Alto Networks ທີ່ພົບວ່າ​ Cuba ransomware ໄດ້​ໃຊ້​ເຄື່ອງ​ມື​ໂຈມ​ຕີ​ເຊັ່ນ​ດຽວ​ກັບ​ RomCom ລວມ​ເຖິງ​ມີ​ການ​ລາຍ​ງານ​ວ່າ​ໃນ​ເດືອນ​ ຕຸລາ​ 2022 ທາງ​ CERT-UA ຂອ ງ​ຢູ​ເຄນ ​ລາຍ​ງານ​ວ່າ​ມີ​ການ​ໃຊ້​ມັນ​ແວ​ RomCom ໃນ​ການ​ໂຈມ​ຕີ​ເຄືອ​ຂ່າຍ​ທີ່​ສຳຄັນ​ໃນ​ປະເທດ​ ໃນ​ຂະນະ​ທີ່​ທາງ​ BlackBerry ອ້າງ​ວ່າ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ມີ​ຄວາມ​ກ່ຽວ​ຂ້ອງ​ກັບ​ Cuba ransomware ແລະ ​ມີ​ເຫຍື່ອ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ໃນ​ສະ​ຫະລັດ​ອ​າເມລິ​ກາ​, ບ​າ​ຊິນ​ ແລະ ​ຟິ​ລິບ​ປິນ​ ​ອີກ​ດ້ວຍ​ ຕໍ່​ມາ​ໃນ​ເດືອນ​ ພະຈິກ​ 2022 ທາງ​ BlackBerry ພົບ​ວ່າ​ RomCom ໄດ້​ໃຊ້​ໂປຣ​ແກຣມ​ SolarWinds Network Performance Monitor (NPM), KeePass password manager ແລະ​ PDF Reader Pro ປອມ​ໃນ​ການ​ໂຈມ​ຕີ​ເປົ້າ​ໝາຍ​.

ເອກະສານອ້າງອີງ:

1. https://www.bleepingcomputer.com/news/security/romcom-malware-spread-via-google-ads-for-chatgpt-gimp-more/
2. https://www.trendmicro.com/content/dam/trendmicro/global/en/research/23/e/void-rabisu%E2%80%99s-use-of-romcom-backdoor-shows-a-growing-shift-in-threat-actors%E2%80%99-goals-/ioc-list-void-rabisus-use-of-romcom-backdoor-shows-a-growing-shift-in-threat-actors-goals.txt
3. https://www.i-secure.co.th/2023/06/romcom-malware-%e0%b9%81%e0%b8%9e%e0%b8%a3%e0%b9%88%e0%b8%81%e0%b8%a3%e0%b8%b0%e0%b8%88%e0%b8%b2%e0%b8%a2%e0%b8%9c%e0%b9%88%e0%b8%b2%e0%b8%99-google-ads-%e0%b9%82%e0%b8%94%e0%b8%a2%e0%b8%9b%e0%b8%a5/